CÁCH KHẮC PHỤC KHI BỊ BẺ KHÓA MẬT KHẨU WIFI
Phá khóa mật khẩu để xài “chùa” Wi-Fi không còn quá mới mẻ đối với nhiều tin tặc và trong thời gian vừa qua lại rộ lên hiện tượng rao bán công khai thiết bị có thể bắt sóng và phá mật khẩu WiFi chỉ trong 10 phút. Tuy nhiên điều đó chỉ dễ dàng đối với công nghệ mã hóa Wi-Fi đời đầu – WEP.
Chuẩn mã hóa Wi-Fi
Hiện nay việc sử dụng mạng không dây đã trở nên phổ biến ở nhiều đô thị lớn, tại văn phòng, công sở, quán cafe,… Chỉ một chiếc laptop bắt sóng WiFi là người dùng có thể truy cập mạng, lướt web dễ dàng. Tuy nhiên để đảm bảo tính riêng tư và an toàn, các chủ mạng Wi-Fi cần mã hóa router (bộ định tuyến) để hạn chế người dùng truy cập bằng mạng của họ.
Ngày nay hầu hết mạng Wi-Fi được mã hóa theo các chuẩn WEP, WPA, WPA-2. WEP là kiểu mã hóa ra đời sớm nhất, được hỗ trợ phổ biến nhất bởi các nhà sản xuất thiết bị Wi-Fi nhưng lại sớm để lộ ra hàng nghìn lỗi cho tin tặc có thể luồn lách và tạo ra nhiều công cụ phá vỡ khả năng mã hóa bảo mật của chúng. Nhược điểm lớn nhất của WEP là sử dụng các khóa mã hóa tĩnh. Khi thiết lập cơ chế WEP cho router, một khoá được dùng cho mọi thiết bị trên mạng để mã hoá tất cả gói tin truyền tải. Vì vậy, bằng những công cụ và một số thủ thuật nhỏ tìm thấy trên mạng, tin tặc hoàn toàn có thể chặn đủ số lượng gói tin đã mã hoá để tìm ra khoá giải mã.
Do đó, theo thời gian công nghệ mã hóa WEP không còn được tin tưởng và WPA, WPA-2 ra đời nhằm khắc phục các nhược điểm của WEP. WPA được trang bị phương pháp mã hóa an toàn như Temporal Key Integrity Protocol (TKIP, thuật toán thay đổi khóa) với thông báo kiểm tra (MIC) nhằm chống lại việc dò tìm khóa mã. Còn WPA2 được bổ sung đầy đủ của chuẩn 802.11i và sử dụng thêm kiểu mã hóa AES (Advanced Encryption Standard) khá mạnh. Tuy về lý thuyết, cả hai công nghệ WPA và WPA2 đều an toàn hơn WEP nhưng không thể coi là chìa khóa vạn năng vì chúng hoàn toàn có thể bị bẻ khóa bởi phương thức tấn công từ điển nhưng mất nhiều thời gian hơn WEP. Do đó, không phải công nghệ nào cũng hoàn hảo và không có kẽ hỡ cho kẻ xấu lợi dụng mà người dùng cần biết cách để buộc chúng phải mất nhiều thời gian và công sức mới có thể đạt được những gì chúng muốn.
Tăng “vòng kim cô” cho mạng Wi-Fi
Tuy có khá nhiều lỗ hổng nhưng công nghệ WEP vẫn được nhiều nhà sản xuất hỗ trợ trên đa số thiết bị Wi-Fi bán ra thị trường. Vì vậy, nếu sử dụng công nghệ mã hóa WEP, người dùng nên thay đổi định kỳ khóa WEP. Nhưng điều này có thể gây bất tiện và mất thời gian cho người dùng vì không chỉ thiết lập trên router mà còn trên tất cả các thiết bị kết nối tới chúng.
Cho dù cho nhiều nhược điểm nhưng WEP vẫn không bị triệt tiêu khi WAP ra đời. Chúng vẫn được hỗ trợ trên nhiều thiết bị kể cả những thiết bị hỗ trợ WAP và trong giao diện thiết lập WEP luôn được liệt kê đứng trước WAP. Vì vậy, đôi khi người dùng nhầm tưởng hai công nghệ mã hóa này là tương đương nhau. Do đó, nếu router của người dùng hỗ trợ WPA thì nên chọn chúng thay cho WEP. Còn đối với các thiết bị không dây quá cũ không hỗ trợ WPA/WPA2, người dùng cần nâng cấp firmware (vi chương trình) lên bản mới nhất. Phiên bản dễ dùng nhất và được hỗ trợ rộng nhất hiện này là WPA Personal, đôi khi còn được gọi là WPA Pre-Shared Key (PSK). Tuy nhiên, chỉ khi thiết lập cấu hình phù hợp, WPA mới khởi tạo chương trình bảo vệ tốt hơn WEP. Khi đặt mật khẩu, người dùng nên tránh các từ liên quan tới SSID và mật khẩu WPA trong từ điển; đặt mật khẩu càng dài, càng phức tạp càng tốt, nên kết hợp chữ hoa, chữ thường, số,…
Tắt chế độ SSID Broadcast: đa số các AP (access point) đều cho phép người dùng tắt chế độ này. Điều này sẽ khiến cho tiện ích tự động cấu hình mạng không dây trong hệ điều hành Windows XP hay các chương trình dò tìm Wi-Fi như netstumble không thể nhìn thấy mạng của chúng ta.
Lọc địa chỉ MAC: AP đều có tính năng lọc MAC của các máy khách kết nối vào. Chúng có hai 2 cách lọc: cho phép hoặc cấm địa chỉ MAC nào đó. Vì vậy, người dùng nên áp dụng cách lọc địa chỉ MAC kết hợp với mã hóa WPA2.
Tuy nhiên có một cách nghe chừng khá buồn cười nhưng lại đơn giản và mang lại hiệu quả rất cao, đó là tắt thiết bị phát Wi-Fi khi không có nhu cầu sử dụng.
Theo Bkis, ngoài một số cách trên người dùng có thể áp dụng biện pháp an ninh cho Wi-Fi theo mô hình khóa chia sẻ chung hoặc chứng thực mở rộng. Đối với mô hình khóa chia sẻ, để truy cập vào hệ thống Wi-Fi, người dùng phải nhập một khóa bí mật và khóa này phải giống với khóa được định nghĩa trước trên hệ thống Wi-Fi. Còn mô hình chứng thực mở rộng, mỗi máy tính khi truy cập vào hệ thống Wi-Fi cần một thông tin định danh riêng (có thể là một cặp username/password hoặc là chứng thư số).
Tuy nhiên, việc áp dụng các kiểu xác thực người dùng, tường lửa, mã hóa dữ liệu sẽ không ngăn việc dò ra khóa mã hóa WEP/WPA mà chỉ ngăn không cho người khác có thể can thiệp vào dữ liệu đang lưu thông hay các tài nguyên trên mạng của người dùng.
Hà Bùi - VnMedia